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(57) Abstract 

The invention concerns a conditional access method and device for use 
in connection with a host electronic equipment, including a pointer peripheral 
containing one or more integrated circuit card coupler units, characterised 
in that said device also includes means for acquiring personal information 
concerning a user, and in that said personal information is locally compared with 
information stored in the integrated circuit card (5) without passing through the 
host equipment 

(57) Abrege- 

La presente invention concerne un dispositif et un procdde" d'acces 
conditionnel destine* a etre utilise en liaison avec un equipement electronique 
note, constitu6 par un peripherique de pointage incorporant au moins un 
coupleur de carte a microcircuit, caract6ris6 en ce qu'il incorpore en outre 
des moyens d' acquisition d*informations personnelles propres a un utilisateur 
et en ce que lesdites informations personnelles sont comparers localement avec 
les informations mernorisees dans la carte a microcircuit (5) sans que lesdites 
informations personnelles ne transitent par l'equipement hdte. 
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Dispositif et precede d'acces conditionnel. 

Domaine de 1 'invention 

5 La presente invention concerne un dispositif 

d'acces conditionnel forme par un peripherique de pointage 
integrant un ou plusieurs coupleurs pour les cartes a 
microcircuit . 

Le dispositif est destine a la mise en oeuvre de 
10 transactions securisees par cartes a microcircuit, a 
1 1 identification du porteur de carte, et/ou au controle des 
etapes des transactions . 

Les applications concernent notamment l'acces 
conditionnel aux ressources de 1 ' equipement h6te, a l'acces 
15 conditionnel de ressources disponibles sur un equipement 
exterieur auquel 1 ' equipement bote est relie ou connecte, la 
gestion de licences d* exploitation de logiciels memorises sur 
1 ' equipement hote ou sur des equipements exterieurs auxquels 
1' equipement hote est relie ou connecte, le paiement 
20 electronique, etc. 

Definitions 

Par "carte a microcircuit" on entendra un support, 
25 generalement une carte, comportant un ou plusieurs circuits 
integres executant des fonctions de traitement et/ou de 
memorisation, par exemple une carte a memoire ou carte a 
microprocesseur communement appelee "cartes a puce", une 
carte sans contact ou une carte PCMCIA. 
30 Par "coupleur de carte a microcircuit", on entendra 

tout moyen mettant en oeuvre une interface pour 1 ' ^change de 
signaux entre un materiel et la carte a microcircuit, selon 
des protocoles de communications standardises ou specif iques . 
L ' echange de signaux peut etre realise par- une connexion- 
35 electrique ou .une liaison sans fil, par exemple 
electromagnetique, ou lumineuse. 
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Par "equipement hote" , on entend un terminal 
d'ordinateur, une station de travail, un ordinateur 
personnel, un terminal multimedia, etc. et particulierement, 
mais non exclusivement, tout equipement susvise comportant 
des moyens de connexion bidirectionnelle temporaire ou 
permanente a un reseau de communication local ou publique. 

Par "peripherique de pointage" , on entendra un 
dispositif actionne manuellement par son utilisateur pour 
agir sur des objets visuels, destine a etre utilise avec un 
equipement note interactif comportant un ecran et une 
interface utilisateur graphique comprenant les objets 
visuels,' tels qu 1 une souris opto-mecanique a bille, une 
souris optique necessitant un tapis special, une boule ou 
track-ball, un numeriseur a stylet ou a curseur, un pointeur 
tactile, un manche ou joystick, une telecommande a levier 
pour CD-I. 

Stat de la technique 

Ces peripheriques fonctionnent conj ointement avec 
1 ' equipement qu'ils controlent et auquel ils sont connectes 
par 1 ' intermediaire d'un port de communication, par exemple 
un port RS232, USB ou equivalent, ou encore relies par un 
moyen de transmission sans fil, par exemple par liaison 
infrarouge ou hertzienne. Dans certains cas, notamment 
lorsque 1' equipement note est un ordinateur portable, ces 
peripheriques sont integres dans ce dernier, bien qu'ils 
foment un equipement autonome. 

II s'agit generalement de dispositif s facilement 
interchangeables en raison de 1' adoption par la plupart des 
constructeurs d 1 equipements notes de standards communs. Ces 
peripheriques sont egalement des dispositif s d'un prix 
relativement faible par rapport au prix de 1 ' equipement note, 
lis -peuvent done etre remplaces de facon independante de 
1 1 equipement note par un dispositif similaire sans 
inconvenient . 
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On a propose dans 1 ■ etat de la technique d'integrer 
dans certains peripher iques de pointage • un connecteur de 
carte a microcircuit, par exemple dans les brevets europeen 
EP485275. ou allemand DE4326735. Le peripherique decrit dans 
5 la demande de brevet europeen EP485275 formant 1 ' etat de la 
technique le plus proche comporte un connecteur de carte a 
microcircuit directement relie aux conducteurs communs entre 
1 ' ordinateur et le peripherique, afin de permettre a la fois 
1 1 echange de signaux relatifs aux fonctions de pointage, et 

10 1 1 echange de signaux pour 1 ' exploitation des fonctions de 
securite associees a la carte a microcircuit. Le peripherique 
se comporte de maniere transparente entre la carte a 
microcircuit et 1 ' ordinateur auquel il est connecte. Aucun 
traitement ne se fait au sein du peripherique, qui se 

15 contente d* assurer la liaison electrique entre la carte a 
microcircuit et 1 1 ordinateur . L 1 ensemble du processus de 
saisie du code d ' identification personnel se fait done dans 
1 ' equipement hote, ce qui n'est pas satisfaisant et constitue 
un inconvenient majeur pour le developpement commercial des 

20 reseaux publiques tels qu ' INTERNET . 

Probleme objectif de 1 'etat de la technique 

En effet, les equipements hotes sont aujourd'hui 
25 presque tou jours relies a au moins un reseau, soit interne a 
une organisation, soit publique, par exemple par INTERNET. II 
est done possible, voire facile, pour un tiers, de se 
connecter a 1' equipement hote et de prendre connaissance des 
informations traitees par ce dernier. II existe bien des 
30 solutions techniques pour filtrer les informations 
accessibles par des tiers exterieurs, mais ces solutions sont 
en contradictions avec la volonte d'ouverture et 
d ' augmentation du niveau de communication de la plupart des 
utilisateurs , et impose, pour un ionctionnement optimal, des 
35 arbitrages complexes et generalement hors de portee de 
1 1 utilisateur moyen. 
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Expose de 1 'invention 

L'objet de 1 1 invention est de remedier a ces 
5 inconvenients en proposant un dispositif d'acces conditionnel 
augmentant sensiblement le niveau de securite centre des 
intrusions abusives par des tiers tentant de se procurer le 
code ou la cle d'acces associees a la carte a microcircuit en 
se connectant a 1 ' equipement hote par un reseau publique ou 

10 interne. A aucun moment, une intrusion dans les memoires de 
1 ' ordinateur ne permettra d'acceder aux donnees relatives a 
la certification de 1 ' utilisateur . 

A cet effet, 1 ' invention reside dans le fait que 
1 ' exploitation de la carte a microcircuit se fait localement, 

15 e'est-a-dire dans le peripherique de pointage et non pas dans 
1 1 equipement hote. Cette caracteris tique est essentielle. 
Elle assure un cloisonnement entre les moyens 
d ' identification de 1 ' utilisateur d'une part, et 1'ordinateur 
et le reseau de communication auquel il est ou peut etre 

20 raccorde d ' autre part . 

Les moyens d ' identification de 1 ' utilisateur sont 
reunis dans le peripherique de pointage auquel seul 
1 ' utilisateur a acces. Il saisit les donnees personnelles en 
principe secretes, par exemple son code conf identiel . Ces 

25 donnees sont verif iees par un microcalculateur local avec les 
informations enregistrees par la carte. Ce microcalculateur 
est generalement integre dans la carte a microcircuit, mais 
peut egalement etre integre dans le peripherique. Cette 
verification n'entraine dans les dispositif s et procedes 

30 selon 1 ' invention aucune transmission de donnees secretes 
vers 1'ordinateur. La comparaison se traduit par une 
information d'agrement ou non de 1 'utilisateur , qui constitue 
la seule information transmise a 1'ordinateur. Ceci est 
essentiel*- pour eviter-- 1 • -accessibili te d' informations 

35 conf identielles telles que le code a un tiers reli£ a 



WO 97/07448 



PCT/FR96/01269 



5 

l'ordinateur par 1 ' intermediaire d'un reseau local ou un 
reseau telephonique . 

Caracteristiques additioxmelles de 1 'invention 

5 

L' invention est avantageusement completee par les 
differentes caracteristigues suivantes : 

il comporte un capteur pour la saisie d'un signal 
d ' identification biometrique, tel qu'un capteur d' images 
10 d'empreintes digitales et/ou un capteur d' images de fond 

de l'oeil et/ou un capteur de reconnaissance vocale ; 

• il comporte. des moyens de controle vocal d'une 
transaction ; 

le clavier et/ou l'ecran est (sont) dispose(s) sur la face 
15 superieure de la souris et en ce qu'un couvercle est 

articule sur le boitier de la souris pour, en position 
fermee, proteger ledit clavier et/ou ledit ecran lorsque 
le coupleur de carte a puce n'est pas utilise ; 

• une fente d' introduction d'une carte a puce est prevue au 
20 niveau d'une rainure que presente la souris sur son 

pourtour dans le prolongement de l'espace entre des 
touches d' actionriement et un corps du boitier de ladite 
souris sur lequel lesdites touches sont montees ; 

• dans le cas ou le peripherique comporte un capteur 
25 d' images d'empreintes digitales, son boitier presente un 

guide destine a recevoir un doigt de l'operateur, par 
exemple son pouce ; 

le dispositif comporte une horloge a alimentation 
permanente permettant de dater les operations, notamment 

30 les operations financieres ; 

il comporte au moins deux entrees de cartes a puce ; 
il comporte des moyens pour la gestion et 1' execution d'au 
moins une application de securite associee a un logiciel 
applicatif-. de . 1 ' equipement hote ; • 

35 • il comporte des moyens permettant le transfert d'une 
application de securite entre des moyens de stockage, 
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gestion et execution d'une application de securite et une 
carte a microcircuit comportant une application de 
distribution de ces applications de securite ; 
il constitue un presse-papiers a stylet et a double 
5 coupleur de carte a puce et comporte des moyens pour 

saisir, compresser et enregistrer des informations 
manuscrites et les decharger ul ter ieurement dans 
1 ' equipement hote ; 
• il constitue un assistant personnel multimedia et/ou 
10 incorpore des moyens mettant en oeuvre d'une ou plusieurs 

applications bureautiques telles qu'une calculatrice , un 
agenda, une horloge, etc . ; 

il comporte une horloge a fonctionnement permanent et des 
moyens pour transmettre a 1 'equipement peripherique des 
15 donnees numeriques datees comportant une sequence de 

donnees relative a 1 1 autorisation calculee a partir des 
donnees memorisees dans la carte a microcircuit et des 
donnees saisies par 1 ' utilisateur et une sequence de 
donnees delivree par 1' horloge. 
20 L» ' invention concerne egalement un procede pour la 

gestion et 1 ' execution d • application de securite dans 
1 1 equipement h6te consistant a proceder a la comparaison dans 
un peripherique relie a un equipement hote de donnees 
personnelles et de donnees enregistrees dans une carte a 
25 microcircuit sans que les donnees personnelles ne soient 
transmises a 1 ' equipement hote, le peripherique integrant des 
moyens d ■ acquisition des donnees personnelles et au moins un 
connecteur de carte a microcircuit. 

Suivant un mode de mise en oeuvre avantageux, le 
30 procede comprend un protocole de communication etendu du 
protocole de communication specif ique aux moyens de pointage 
du dispositif peripherique. Ce protocole permet 1 1 utilisation 
d'un seul port serie pour la communication entre des 
.^logiciels^applicatif s et les moyens de pointage et ,les. : moyens. 
35 securises reunis dans le dispositif selon 1' invention. 
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Ainsi, selon une forme avantageuse de ce protocole, 
les donnees et les commandes sont transmise sous la forme de 
trames comprenant un ensemble de champs constitue chacun 
d'une sequence codee comportant un nombre predetermine de 
5 bits, chaque trame comprenant un champ d ' identification et au 
moins un des champs suivants : 

- champ de 1 ' information de pointage, 

champ de 1 ' information relative aux moyens 

securises . 

10 Le champ 1 ■ information relative aux moyens 

securises comporte obligatoirement un champ de controle qui 
precise le type d 1 information suivi des champs optionnels 
donnant la longueur du message d 1 application de securite, et 
un champ de controle d'integrite dudit message. 

15 Avantageusement; le procede fournit 1 ' information 

de pointage a un logiciel applicatif et en meme temps assure 
la transmission des messages vers le meme ou un autre 
logiciel applicatif simultanement actif et son application de 
securite. 

20 De preference, l'appareil transmet les messages 

emis par les moyens securises sous la forme de trames dont le 
premier champ est la trame specifique de pointage modifie 
suivie dudit message complet ou repartit sur plusieurs trames 
du meme type. Aussi, les trames de pointage et les trames 

25 etendues peuvent etre alternees. 

Selon une variante, les moyens securises de 
stockage et d' execution desdites applications de securite 
sont regroupes dans une carte a microcircuit miniature 
amovible. Ainsi, la gestion et la disponibilite desdits 

30 moyens de stockage et execution des applications de securite 
sont rendues independantes de la maintenance du dispositif . 



Presentation des des sins annexes 
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L' invention sera mieux comprise a la lecture de 
1' expose detaille suivant, donne a titre d'exemple non 
limitatif et illustre par les figures annexees : 

- la figure 1 est une representation en vue de 
5 dessous (cote bille) d'un dispositif d'acces conditionnel 

conforme a une realisation possible de 1 * invention dans sa 
version "souris" ; 

- les figures 2a et 2b sont des representations en 
vue en perspective de deux variantes de realisation possibles 

10 pour la souris de la figure 1 ; 

- la figure 2c represente une vue d'un ecran pour 
la raise en oeuvre d'une variante de realisation ; 

- la figure 3 est une representation schematique 
illustrant une configuration avantageuse possible a 

15 1 ' interieur du boitier de la souris de la figure 1 ; 

- la figure 4 est une vue de dessus d'un dispositif 
d'acces conditionnel de type souris a bille conforme a une 
autre variante de realisation possible pour 1' invention ; 

- la figure 5 est une vue en perspective illustrant 
20 un mode de realisation possible pour la variante de la figure 

4 ; 

- la figure 6 est une representation schematique en 
vue de cote illustrant un mode de realisation possible pour 
la variante de la figure 4 ; 

25 - la figure 7 est un synoptique illustrant un 

dispositif d'acces conditionnel avec controle biometrique ; 

- la figure 8 est une vue de dessus d'un dispositif 
d'acces conditionnel avec controle biometrique ; 

- la figure 9 est une representation schematique en 
30 perspective avec arrache d'un clavier de micro-ordinateur 

avec un dispositif tactile de pointage selon 1' invention ; 

- la figure 10 est un organigramme illustrant une 
sequence d ' interrogation possible par un logiciel applicatif, 
d'une application de securite portee par une carte 

35 collectrice inseree dans un dispositif d'acces conditionnel 
conforme a un mode de realisation possible pour 1' invention ; 
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- les figures 11 et 12 sont des organigrammes 
illustrant des sequences d' installation et de desinstallation 
d'une application de securite sur une carte collectrice 
inseree dans un dispositif d'acces conditionnel selon un mode 

5 de realisation possible pour 1' invention ; 

- les figures 13 a 18 illustrent la structure des 
trames de communication utilisees avec un dispositif d'acces 
conditionnel conforme a un mode de realisation possible de 
1 ' invention. 

10 

Expose detaille de differents exemples non 
limitatifs de realisation de 1 ' invention 

L'appareil selon 1 ' invention sera decrit sous forme 
15 d'une souris a bille, la meme demarche s ' appliquant pour les 
autres types de dispositif s de pointage. La figure 1 montre 
un appareil selon 1 ' invention derive d'une souris opto- 
mecanique dont la bille (3) est retenue dans sa cage par le 
couvercle (2). Un clavier (6) est loge dans un degagement 
20 prevu sur le corps inferieur (1) de la souris. La profondeur 
de ce degagement est choisie en fonction de l'epaisseur du 
clavier et de l'epaisseur des pastilles glissantes (4) afin 
que 1 ■ ensemble ne touche pas la surface d'appui entrainant la 
bille (3) . 

25 L'appareil represents dans la figure 1 comporte un 

coupleur de carte a microcircuit . Dans la figure 1, une carte 
a microcircuit (5) , par exemple conforme a la nonne ISO 7816 
ou encore une carte sans contact, est introduite dans 
l'appareil par une fente laterale prevue en ce sens. 

30 L'appareil peut comporter des moyens pour accepter les deux 
types de carte a microcircuit, pour identifier le type de 
carte et verifier son insertion correcte . 

Ainsi, le clavier (6) peut etre place sur le 
couvercle superieur -de la. .souris, protege ou non par un cache 

35 articule. Ce dispositif peut comporter un afficheur (7) a 
cristaux liquides pour le controle des transactions et 
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operations et il est connecte a 1 ' equipement note par un 
cordon de liaison muni d'une prise pour le branchement sur le 
port ad-hoc de 1 ' equipement note. L ' alimentation du 
dispositif est fournie soit par une source autonome soit par 
5 1' equipement hote. L ' alimentation electrique peut etre 
realisee soit par une alimentation independante propre au 
peripherique, ou dans la plupart des cas, par la tension 
disponible sur le port (RS232, USB, GEOPORT, ...) auquel est 
relie le peripherique, ou un second port (clavier, ...). 

10 L'appareil peut comporter une horloge a 

alimentation permanente necessaire pour dater des 
transactions financieres. L'appareil peut comporter aussi des 
moyens securises habilites a recevoir une application porte- 
monnaie electronique. Ainsi il peut recevoir et conserver 

15 1 * argent ou la valeur electronique. Lesdits moyens peuvent 
etre realises soit avec un microcontroleur en version 
securise et comprenant une application port e-monnaie 
electronique, soit en utilisant un second coupleur de carte a 
microcircuit comportant une application por te-monnaie 

20 electronique. Cette deuxieme carte porte-monnaie electronique 
est de preference une carte miniature a contacts (5a) et 
logee a 1 ' interieur du dispositif (par exemple de format GSM, 
15 x 25 mm) . Ceci facilite son remplacement en cas 
d* expiration de validite ou de defaillance. Cette fonction 

25 f inanciere intrinseque correspond a un portefeuille 
electronique . 

Une variante representee en figure 2c consiste a 
remplacer le clavier de saisie des donnees personnelles par 
un equivalent inf ormatique . Cet equivalent est constitue par 

30 un programme provoquant l'affichage sur l'ecran (50) de 
1 ' equipement hote d'une representation graphique d'un clavier 
virtuel (54) compose de touches virtuelles (51, 52). Les 
touches virtuelles (51) de ce clavier sont positionnees de 
f aeon aleatoire et differente a chaque nouvelle activation- de- - - 

35 ce programme. La saisie des donnees personnelles s'effectue a 
1 1 aide des fonctions de pointage du dispositif d'acces 
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conditionnel selon 1' invention. L 1 exploitation des signaux de 
positionnement et de validation de la position de 1 ' index 
(53) sur le clavier virtuel (54) se fait exclusivement dans 
le peripherique, d'une maniere empechant la transmission des 
5 donnees de position validees a 1 ' equipement hote. 

Plusieurs configurations ergonomiques sont 
possibles pour le boitier (1) de la souris . 

On a illustre sur les figures 2a et 2b deux 
configurations differentes envisageables . 

10 Dans les deux cas, la fente (lb) est menagee sur le 

bord du boitier (1) le plus eloigne des touches 
d ' act ionnement de la souris, ces touches ayant ete 
referencees par (8) sur ces figures 2a et 2b.. 

La configuration illustree sur la figure 2b est 

15 avantageuse car elle permet de simplifier l'outillage de 
fabrication. La fente (lb) y est situee au niveau de la 
rainure (lc) que presente habituellement une souris sur son 
pourtour dans le prolongement de 1 ' espace entre ses touches 
d' act ionnement (8) et le corps du boitier (1). 

20 La figure 3 illustre une configuration avantageuse 

a 1 ' interieur du boitier (1). On sait que classiquement , il 
est prevu dans un boitier de souris a bille deux axes 
encodeurs (41, 42) et un galet presseur (43) en contact 
permanent avec la bille (3). Ces axes encodeurs (41, 42) 

25 permettent de suivre les deplacements de la bille. Le ressort 
qui maintient le galet (43) en contact avec la bille (3) est 
un ressort (44) en spirale, ce qui permet de reduire 
1 ' encombrement du mecanisme de pression a 1' interieur, et 
done de liberer un volume au niveau de la zone d' introduction 

30 de la carte a puce (5) . 

Dans une autre variante de souris a bille conforme 
a 1' invention illustree par les figures 4 a 6, le clavier (6) 
est dispose sur la face superieure de la souris, e'est-a-dire 
; .. .sur la face qui est opposee >au fond (lb).- Un couvercle 

35 articule (9) permet de proteger le clavier lorsque la 
fonction de coupleur de carte a puce n'est pas utilisee. Ce 
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couvercle (9) est represent^ arrache sur la figure 4. II 
presente une forme telle que sa face superieure prolonge tres 
exactement la forme du boltier lorsqu'il est en position 
fermee, le peripherique se presentant alors comme une souris 
5 classique. 

Ce couvercle (9) est articule sur le boitier (1) 
par 1 ' intermediaire d'un bras (10) par rapport auquel il est 
monte pivotant, ledit bras (10) etant lui-raeme monte 
pivotant, par rapport au boitier (1) autour d'un axe 
10 parallele a I'axe de pivotement du couvercle (9) sur ledit 
bras (10) . 

Une butee (10a) est prevue sur le boitier (1) pour 
limiter le debattement du couvercle (9) . On dispose ainsi 
d'une articulation qui permet a l'operateur de degager 
15 totalement le couvercle (9) par rapport a la zone occupee par 
le clavier (6), pour liberer l'acces de celui-ci, tout en 
conservant au peripherique un aspect compact. 

Dans le cas d'une application a des transactions 
financieres sur des reseaux en ligne et/ou en mode local, 
20 l'actronnement du clavier du peripherique par l'operateur 
peut permettre les differentes operations suivantes : 
Validation, 

Correction, effacement de la derniere entree 
numerique, 

25 • Journal, lecture de la liste des dernieres 

transactions , 

Balance, lecture de la somme ou valeur restant dans la 
carte porte-monnaie electronique, 

Select, selection de devise pour un porte-monnaie 
30 electronique intersectoriel, 

Annulation, abandonner la transaction courante, 
Local, arreter la communication avec 1 ' equipement 
hote, 

Verrouiller, une carte a puce., 
35 • EW/Carte, selection portefeuille (EW) ou carte 

inseree, si applicable, 
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Transfert, lancer une operation de transfert. 

L* appareil attache a un equipement hote comportant 
des moyens logiciels adequats et connecte a un reseau 
telematique, permet le paiement securise en ligne des biens 
5 et services par cartes a puce bancaires et cartes porte- 
monnaie electronique, mais aussi le transfert securise 
d' argent entre deux objets financiers distants. 

Par exemple, deux personnes situees dans des 
localites dif ferentes, possedant chacune un ordinateur 
10 personnel avec modem appareil selon 1* invention peuvent 
executer les transactions securisees suivantes : 

• transferer une somme d" argent de la carte bancaire de la 
premiere personne sur la carte porte-monnaie electronique 
de 1 ' autre personne ; 

15 • choisir la devise qui fera I'objet du transfert ; 

• transferer une somme d' argent d'une carte porte-monnaie 
electronique a 1' autre. 

Aussi, chacune des deux personnes peut utiliser les 
services financiers en ligne offerts par sa banque pour 
20 les cartes porte-monnaie electronique : 

• transferer de 1' argent de son compte courant sur une 
carte porte-monnaie electronique et reciproquement ; 

• changer une somme d' argent en devise et reciproquement. 

Chaque f ois que 1 ' identification du porteur de 
25 la carte est exigee, le code personnel ou la signature 
servant d ■ identif icateur , sont saisis au niveau du dispositif 
qui cree ainsi une barriere a la fraude inf ormatique . 

L ' appareil comportant de plus les moyens pour 
utiliser les cartes porte-monnaie electronique permet les 
30 operations suivante : 

verifier la valeur restante ou la balance ; 
la lecture du journal des transactions ; 
verrouiller son porte-monnaie electronique. 
• - Une . carte- a puce 5 peut comporter plusieurs 

35 applications financieres, par exemple une CB et au moins un 
porte-monnaie electronique. Tout appareil de base selon 
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1' invention comporte les moyens pour effectuer des 
transactions entre les applications financieres residentes 
sur une meme carte a puce, les conditions de securite etant 
assurees implicitement par la carte meme. 
5 L'appareil comportant soit un portefeuille 

electronique (EW) interne, soit deux coupleurs identiques dont 
un comprenant une carte porte-monnaie electronique ayant role 
d 1 intermediaire , peut etre utilise en mode local de 
fonctionnement pour des transactions carte a carte, les cartes 
10 inserees successivement dans le connecteur disponible : 

debiter une carte bancaire et charger un porte- 
monnaie electronique ; 

transferer de 1' argent d 1 un porte-monnaie 
electronique a un autre ; 
15 • conserver de 1' argent dans le portefeuille EW ; 

annuler la derniere transaction. 

On remarquera que les moyens mettant en oeuvre 
1 ' identification du porteur de la carte (saisie de code 
personnel ou signature), les moyens coupleurs de carte a puce 
20 et les moyens de pointage (selection, validation, 
modification) definissent la configuration de base pour 
chacun des types d'appareil decrits ci-dessus. Partant de 
chaque configuration de base ci-dessus, en combinant les 
differents moyens de communication serie avec 1 ' equipement 
25 hote, claviers, affichages, alimentations, horloge, 
portefeuille electronique, on obtient des families 
d 1 appareils selon 1 ' invention . 

Un appareil peripherique du type de celui qui 
vient d'etre decrit apporte a un ordinateur personnel ou une 
30 television interactive les fonctions d ■ un terminal pour 
cartes a puce utilisables dans des applications financieres, 
controle d'acces, identification et peage. 

II permet le paiement des biens et services 
sur les reseaux.en.. ligne avec des cartes a puce bancaire (CB)--- 
35 ou porte-monnaie electronique ainsi que des fonctions de 
banque a domicile. En versions a portefeuille electronique 
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(EW) , l'appareil meme peut servir comme reserve d' argent pour 
le paiement sur les reseaux en ligne ou en mode local. 

L'appareil permet 1 ' utilisation des moyens de 
paiement personnalises (CB, porte-monnaie electronique, WE) 
5 ou anonymes (porte-monnaie electronique, WE). Ainsi, 
l'appareil permet la manipulation de 1' argent electronique en 
tant que reniplacement direct de 1' argent physique et efface 
les barrieres de la distance physique entre les operateurs. 

L'appareil peut aussi servir pour 

10 1 ' administration des reseaux d 1 entreprise , acces securise aux 
ordinateurs, protection logicielle . 

L'appareil remplace la souris habituelle ou 
tout autre dispositif serie de pointage et il est accompagne 
d'un pilote logiciel adequat a chaque type d'equipement hote. 

15 Generalement, l'appareil est une telecommande destinee aux 
terminaux multimedia le reconnaissant comme dispositif de 
pointage (ordinateurs personnels, televisions multimedia 
interactives , etc.). II peut aussi comporter des applications 
additionnelles comme calculatrice financiere, presse-papiers , 

20 agenda, etc. 

Decline sous la forme d'un presse-papiers a stylet 
et a double interface de carte a puce qui en option 
enregistre des fiches manuscrites compressees dans une 
memoire, l'appareil pourra egalement avantageusement etre 

25 utilise par des prof essionnels de sante . 

On a illustre sur la figure 7 une configuration 
pour la mise en oeuvre d'un controle biometrique , par exemple 
par un contr61e au moyen d'un scanner d'empreintes digitales 
ou d'un -scanner de fond de l'oeil, comportant un capteur 

30 d' images (15), qui est par exemple un scanner d'empreintes 
digitales ou un scanner de fond de l'oeil, est relie au 
microcontroleur du periph6rique (13) sur cette figure 7. Ce 
microcontroleur (13) est egalement relie aux moyens 
.. ..specif iques de pointage (11), a 1/. ecran d' af f ichage- (7-) ,, 

35 ainsi qu'au clavier (6) . 
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Le microcontroleur (12) regroupe les moyens de 
contrdles de traitement et de communication de 1* ensemble du 
dispositif . Ainsi il communique avec une carte a puce externe 
(5) par le biais de 1 1 interface (13) et avec la carte a puce 
interne (5) par le biais de 1 ' interface (14) et d' autre part 
avec le micro-ordinateur (19), auquel ledit peripherique est 
associe . 

En variante encore, le microcontroleur (12) est 
egalement avantageusement relie a un processeur de synthese 
et de reconnaissance vocale (16) qui est par exemple lui-meme 
relie a un microphone MIC et a un haut-parleur HP dispose 
dans le boitier (1) . Une variante de mise en oeuvre consiste 
a verifier le signature vocale de 1 'utilisateur au moment de 
la lecture d ' informations aff ichees sur un ecran du 
peripherique ou de 1 ' equipement h6te. Ce mode de realisation 
permet d'effectuer la reconnaissance vocale et la comparaison 
avec la signature vocale numerisee enregistree dans une carte 
a microcircuit (5) a partir d'un nombre tres reduit de mots, 
et d'utiliser des algorithmes et circuits integres simplifies 
et peu couteux sans reduire de f agon significative- la 
securitede la comparaison. 

Les moyens de traitement que constitue 1' unite (12) 
mettent en forme l'objet biometrique releve par le capteur 

(15) et/ou l'unite de reconnaissance vocale (16), pour 
permettre son traitement par une carte (5) . Celle-ci regoit 
et compare l'objet biometrique avec la reference qu'elle 
present e en memoire. En variante, la comparaison entre la 
reference et l'objet biometrique releve par le capteur (15) 
ou l'unite (16) peut etre realisee par le microcontroleur 

(12). 

On observera que les moyens de traitement que 
constitue microcontroleur (12) peuvent etre un coprocesseur 
mathematique optimise pour le traitement des signaux et/ou 
les calculs cryptographiques . Aussi,__ tout ... ; ou par tie de 
l'unite (16) peut etre avantageusement integre sur une meme 
puce ou module (12) . 
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L'objet biometrique, tel que 1 ' image relevee par le 
capteur (15) ou la reconnaissance vocale que realise 1' unite 
(16), se substitue au code d' identification de 1 ' utilisateur , 
qui n'a pas besoin d'entrer un code sur le clavier (6) . 
5 La figure 8 represente une configuration ou le 

capteur (15) est situe sur un bord lateral du boitier (1) de 
la souris. Ce bord presente un guide (17) destine a recevoir 
un doigt de l'operateur, par exemple son pouce. Le pro jet de 
norme europeenne EN 1546 presente en detail le fonctionnement 

10 et 1 ' utilisation des cartes porte-monnaie electronique . Le 
pro jet de norme europeenne EMV deer it en detail le standard 
des precedes de paiement par cartes a microcircuit ainsi que 
les caracteristiques de telles cartes. 

Le peripherique peut comporter des moyens de 

15 communication serie sans fil pour augmenter sa mobilite par 
rapport a l'equipement hote. Des moyens radio ou infrarouge 
peuvent etre utilises pour satisfaire les contraintes 
environnementales et celles des equipements hotes cibles . 

Le peripherique peut encore £tre integre au micro- 

20 ordinateur lui-meme. Une variante en ce sens a ete illustree 
sur la figure 9. Dans cette variante, un micro-ordinateur 
presente un dispositif tactile de pointage (20) . Un clavier 
(6) independant du clavier C de 1 ' ordinateur est integre au 
support S sur lequel clavier C et le dispositif tactile de 

25 pointage (20) sont montes . 

Avantageusement , la surface tactile du dispositif 
(20) est egalement utilisee pour realiser le clavier (6) de 
saisie des informations personnelles , une representation 
dudit clavier etant superposee a ladite surface tactile. 

30 Cette representation peut etre visible en permanence. En 
variante, elle peut etre visible seulement lors de 
1 ' operation d ' identification du porteur, par exemple par un 
r e t r o - ec 1 a i r age realise au moyen d'un film 
electroluminescent. , : . , . ..... 

35 Une autre variante de realisation d'un dispositif 

selon 1' invention, met en oeuvre des moyens de synthese 
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vdcale et un dictionnaire adequat . Ce dictionnaire peut etre 
telecharge et/ou modifie par une procedure securisee a partir 
d'un serveur accredite. Ce serveur peut §tre par exemple 
celui du fabricant du dispositif d'acces conditionnel. Ce 
5 dernier peut, avec des moyens de reconnaissance vocale, 
apprendre un minimum de commandes requises par le deroulement 
des transactions, tels que par exemple : accepter, annuler, 
continuer. A titre d* exemple, pour le controle du prix 
affiche sur 1 ' ecran de 1 ' ordinateur de 198,25 $, le procede 

10 consiste a transmettre 1 ' information relative au prix 
peripherique qui transforme cette information par ses moyens 
de synthese et reproduction vocale, pour emettre les sons 
"un" , "neuf", "huit" , "virgule" , "deux", "cinq" et "dollars". 

Ensuite le dispositif valide le prix pour la 

15 transaction par exemple a la commande "accepter" prononcee 
oralement par le titulaire de la carte a microcircuit 
introduite dans le dispositif. Les commandes vocales peuvent 
etre enregistrees . 

On se refere maintenant aux figures 10 et suivantes 

20 sur lesquelles on a illustre d'autres aspects de 1' invention. 

Le peripherique comporte une application de 
securite, designee par SAM dans la suite du texte. Par 
application de securite ou SAM, on entend un objet logiciel 
comportant un code executable et toutes les ressources 

25 specifiques necessaires a son f one tionnement , residant et 
s ' executant dans la m^moire d'un microcircuit securise muni 
d'un systeme d* exploitation securise aussi. Un exemple 
typique de SAM est le porte-monnaie electronique disponible 
sur carte a microcircuit. II est prevu dans le peripherique, 

30 pour au moins un logiciel applicatif de 1 ' equipement 
electronique hote avec lequel ledit peripherique communique, 
une application de securite installee dans ledit 
peripherique . 

- - L' applicatif et son application de ■ securite 

35 connaissant chacun une meme information secrete sous la forme 
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d'une on plusieurs cles, il met en oeuvre un meme algorithme 
cryptographique , permettant la verification de cette cle. 

On dispose ainsi d'une application de securite de 
distribution qui remplace la cle ordinaire de protection du 
5 logiciel applicatif contre les f raudes . Cette application de 
securite est avantageusement , mais non limitativement , portee 
par une carte a puce, designee par la suite par carte 
collectrice SAMC . Cette carte collectrice est par exemple 
chargee a partir d'une deuxieme carte appelee carte de 

10 distribution ou SAMD, qui est par exemple livree avec le 
logiciel applicatif necessitant une protection contre la 
fraude. Dans ce contexte, la figure 10 est un organigramme 
d'une sequence simplifiee d 1 interrogation d'une application 
de securite SAM residant dans la carte collectrice d'un 

15 appareil peripherique par un applicatif s ' executant 
localement ou accedant a 1 ' equipement hote qui communique 
avec le peripherique. La SAM a le role d'une cle de 
protection de cet applicatif. La premiere etape du test de la 
SAM (etape (101) ) consiste a gen^rer un code aleatoire (RNDC) 

20 qui est ensuite memorise. Dans une deuxieme etape (102), ce 
code (RNDC) est crypte selon un procede a cle symetrique bien 
connu dans 1 ' art . Cette cle de cryptage est connue par 
1' applicatif et par sa SAM. Le resultat de 1 ' etape (102) est 
un autre code representant le test (CLG) a transmettre a la 

25 SAM. Dans 1 'etape (103), l'applicatif verifie si il peut 
transmettre ce test (CLG) au pilote du dispositif . Dans 
1 ' etape (104), le message test (CLG) est transfere a ce 
pilote qui le transmet selon un protocole etendu du protocole 
de communication specifique aux moyens de pointage dudit 

30 appareil peripherique a la SAM de destination. 

Dans 1 * etape (105), l'applicatif attend pour un 
temps predefini la replique de la SAM. La SAM utilise un 
algorithme pour decrypter le test (CLG) . Si la SAM est 
authentique, la cle de decryptage est la- meme et retrouve-le 

35 code aleatoire initial en clair. Sa replique (RPL) est 
transmise au pilote du dispositif pour etre lue dans 1 1 etape 
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(106) par 1 1 applicatif . L'etape suivante (107) consiste a 
comparer le code initial (RNDC) avec la replique (RPL) . Si 
ils sont identiques, il n'y a pas de fraude. Une telle 
sequence de test de SAM s ' integre dans 1' applicatif a 
proteger. Si la sequence de la figure 10 a un seul message de 
retour en cas de succes (108), les messages d'erreurs (109) 
sont plus nombreux dans la pratique et refletent les 
situations d'echec possibles dans toutes ses etapes. 

La sequence simplifiee d' installation d'une 
application de securite ou SAM dans le precede selon 
1 ' invention est presentee dans la figure 11. 

Une carte SAMD de distribution d 1 applications de 
securite peut servir pour plusieurs installations d'une meme 
application de securite. Ladite carte comporte pour chaque 
application de securite un compteur de licences (LCNT) 
initialise au nombre d ' installation permise pour ladite 
application. Le programme d' installation de 1* applicatif 
demande dans l'etape (110) la carte de distribution SAMD dans 
le coupleur de carte a puce du peripherique. La procedure est 
interrompue si : 

- le test (111) ne reconnait pas la carte de 
distribution SAMD ou le compteur du nombre de licences a 
installer LCNT est nul, 

- le test (112) ne trouve pas assez de memoire dans 
la carte collectrice SAM ou cette carte ne supporte pas la 
SAM a installer, 

- le test (114) ne valide pas la copie. 

Si le conditions (111) et (112) sont reunies, 
l'etape (113) transfere la SAM de la carte de distribution 
SAMD a la carte collectrice SAMC. 

Le microcontroleur du coupleur du peripherique 
declenche ce transfert qui ensuite se deroule entre les deux 
cartes selon un quelconque precede de transfert de donnees 
securise. • > 

Pendant ce transfert, Le microcontroleur agit 
uniquement comme canal de liaison entre les deux cartes SAMC 
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et SAMD. Le systeme d 1 exploitation de la carte collectrice 
SAMC amene la SAM a sa forme executable. Ensuite, la carte 
SAMC effectue le test (114) qui comprend la validation du 
transfert proprement-di t et ensuite la verification du 
5 fonctionnement correct de la SAM. Cette verification consiste 
a simuler 1 1 interrogation de la SAM et a verifier son 
comportement . La carte collectrice SAMC efface de sa memoire 
la SAM invalide. L ' installation d'une SAM est equivalente a 
un transfert de valeur selon un mecanisme transac tionnel 

10 similaire a celui utilise dans les systemes porte-monnaie 
electronique. Ce mecanisme transactionnel assure dans 1 ' etape 
(115) que le compteur de licences. (LCNT) est diminue d'une 
unite uniquement si la SAM est validee par les moyens 
securises de stockage, gestion et execution SAMC. 

15 L ' organigramme simplifie de desinstallation d'une 

application SAM dans le procede selon 1 ' invention est 
presente sur la figure 12. 

Le programme de desinstallation de l'applicatif 
protege par une SAM demande dans 1 1 etape (116) 1' insertion de 

20 la carte de distribution SAMD ou equivalente dans le coupleur 
du peripherique. Le test (117) verifie si la SAM a 
desinstaller accepte la carte introduite dans ledit coupleur. 
Si la carte SAMD est la carte d'origine, le code de la SAM y 
est tou jours present et 1 1 etape (119) augmente d'une unite le 

25 compteur de licences (LCNT) . 

Si la carte SAMD n'est pas celle d'origine, le code 
de la SAM est transfere de la carte collectrice SAMC dans 
1 ' etape (121) a la condition (120) de memoire suffisante, 
dans des conditions similaires a 1 ' etape (113) du processus 

30 d ' installation decrit ci-dessus. Toujours dans 1 1 etape (121), 
le systeme d ' exploitation de la 'carte SAMD cree un compteur 
de licences (LCNT) initialise a zero. Dans le cas de 
transfert de code de SAM, la carte SAMD verifie dans 1 ' etape 
(122) la validite de la copier, comme dans 1 1 etape (114) de 

35 1 ' organigramme d* installation de SAM. Par un mecanisme 
transactionnel comme celui de 1 ' installation d'une SAM, 
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1' operation de desinstallation assure que seulement en cas de 
succes la carte SAMD comporte une SAM valide et un compteur 
de licences (LCNT) incremente d'une unite et que la carte 
SAMC efface la SAM en question de sa memoire dans 1 ' etape 
5 (123) . Le procede permet ainsi a toute carte SAMD ayant regu 
par desinstallation une application de securite d'etre 
equivalente a une carte de distribution d'origine. Une 
application de security est transferee entre deux cartes 
distantes qui communiquent entre elles par des moyens 

10 interposes assurant le transport et 1 ■ integrite de leurs 
messages, via des reseaux de communication. Aussi, une 
procedure de transfert de SAM en tant que licence 
d ' utilisation flottante d'un equipement note a un autre en 
utilisant les reseaux de communications est similaire a la 

15 procedure de desinstallation de SAM decrite ci-dessus. Dans 
ce cas, la carte de distribution est remplacee par la carte 
collectrice de destination, 

De preference, le protocole de communication 
utilise pour la gestion et 1 ' execution des applications de 

20 securite utilise une meme voie de communication serie pour 
vehic.uler 1 1 information de pointage et les messages de 
securite. Ainsi, la fonction de pointage et la fonction de 
terminal de carte a microcircuit sont disponibles quasi 
simultanement et independamment l'une de 1 ■ autre . Dans le 

25 cadre dudit protocole de communication, les informations et 
les commandes sont transmises sous la forme de trames 
comprenant un ensemble de champs constitue chacun d'une 
sequence codee comportant un nombre predetermine de bits, 
comme illustre dans la figure 13. Ainsi, une trame comporte 

30 obligatoirement un champ d ' identification (FID) et au moins 
un des champs suivants : 

- champ de 1 • information de pointage, 

- champ de 1 ' information relative a une application 
de securite. ...... ? 

35 Le champ d ' identification (FID) initialise les 

moyens de reception pour 1' analyse de son contenu. Pour les 
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peripheriques de pointage et un mode de f onctionnement donne, 
leurs trames ont une longueur fixe. Dans une telle trame, le 
bit de poids fort est reserve k 1 ' identification de son 
debut. Le protocole mis en oeuvre selon 1 1 invention utilise 
5 la meme methode pour preserver la compatibility avec les 
dispositifs de pointage classiques et place toujours 
1 ' information de pointage en debut de trame etendue. Ainsi, 
il n'est pas restrictif de considerer la trame de pointage 
comme une part du champ d ' identification (FID) de la trame 

10 etendue dont la figure 6 en est une illustration. Par 
exemple, - la presence du champ de 1 ' information relative a une 
application de securite peut etre indiquee selon le meme 
principe par une valeur particuliere d'un groupe de bits du 
premier octet de la trame. Ainsi, le champ de 1 ' information 

15 relative a une application de securite comporte tout ou une 
part des champs suivants dans 1 ' ordre de citation, a partir 
d'une position determinee par ladite valeur particuliere d'un 
groupe de bits du champ d 1 identification (FID) : 

- champ de controle (OPC) , 

20 - champ donnant la longueur du message 

d '-application de securite (DLEN) , 

- champ qui comprend tout ou une part du message 
d ' application de securite proprement-dit (CLG) ou (RPL) , 

- champ de controle de 1 ' integrite dudit message 

25 (CRC) . 

Les trames etendues ont une longueur variable selon 
le champ de controle (OPC) . Si la trame comporte un message 
(CLG) destine a une application de securite ou un message 
(RPL) destine a un applicatif, le champ (OPC) est suivi par 

30 un champ (DLEN) donnant la longueur dudit message (CLG) ou 
(RPL) . La longueur du champ (DLEN) est une fonction de la 
longueur maximale admise pour les messages (CLG) et (RPL) 
Les moyens de controle et traitement du dispositif selon 
1 ' invention ignorent la signification desdits messages (CLG) 

35 et (RPL) . Le champ optionnel (CRC) permet l'eventuel controle 
de 1 ' integrite desdits messages (CLG) ou (RPL). 
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Une trame etendue est completement definie par son 
champ de controle (OPC) qui comprend au moins les 
informations suivantes (figure 14) : 

- le code (OPC.C) de 1' operation concernant une ou 
5 plusieurs applications de securite, 

- l'adresse de application de securite concernee 
par la trame (OPC. A) , 

le nombre (OPC.S) d' octets du champ de 
1 • information relative a une application de securite transmis 

10 par trame etendue, ce nombre (OPC.S) etant au moins egal a la 
longueur du champ (OPC) . 

L'adresse (OPC. A) prend aussi en compte le coupleur 
par lequel on accede a 1 ' application de securite. Les 
messages longs sont transmis par segments de longueur 

15 constante (OPC.S) a 1 ' exception d'un dernier segment, reparti 
sur plusieurs trames etendues plus courtes . Cette methode 
permet d* assurer l'uniformite de la frequence d ' acquisition 
de 1 1 information de pointage. 

Les figures 15 a 18 illustrent une implementation 

20 particuliere de la structure des trames etendues decrites ci- 
dessus a 1 1 aide des figures 13 et 14. 

La figure 15 presente la trame emise par une souris 
convent ionnelle. Cette trame comporte trois octets, dont les 
bits de poids fort ne sont pas utilises. Ces bits sont 

25 utilises pour indiquer les trames etendues. 

En partant de cette trame, la figure 16 illustre la 
structure d'une trame etendue dont le champ d 1 identification 
(FID) reprend la trame de pointage et positionne a 1 le bit 
de poids fort de son premier octet. Ainsi, le pilote du 

30 dispositif detecte la trame etendue et analyse le quatrieme 
octet qui correspond au champ de controle (OPC) de 
1 ' information de securite. Le cinquieme octet (DLEN = m) 
indique -la longueur en octets de la replique (RPL) d'une 
application SAM , seul ou en association avec un autre -champ 

35 binaire disponible dans les octets precedents, par exemple 
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les bits de poids fort des octets 2 et 3 . Le champ de 
controle (CRC) comporte (n) octets. 

Les figures 17 et 18 illustrent la structure de la 
premiere, respectivement la cinquieme trame des trames 
etendues qui transmettent la replique d'une application de 
securite en plusieurs segments consecutifs pour le parametre 
OPC.S = 8, une replique (RPL) de 32 octets et un (CRC) sur 16 
bits. Le champ (OPC.S) indique au driver du dispositif le 
nombre d* octets du champ de 1 ' information relative a une 
application de securite ajoutes a la trame de pointage, a 
1* exception d'une derniere trame. Aussi, les trames de 
pointage et les trames etendues peuvent etre alternees. 

L' invention est decrite dans ce qui precede a titre 
d'exemple non limitatif. II est entendu que 1 ' Homme du metier 
sera a meme de realiser diverses variantes sans pour autant 
sortir du cadre de 1' invention. 
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RE VEND I CAT I QNS 

1. Dispositif d'acces conditionnel destine a etre 
utilise en liaison avec un equipement electronique hote, 
constitue par un peripherique de pointage incorporant au 

5 moins un coupleur de carte a microcircuit, 

caracterise en ce qu'il incorpore en outre des 
moyens d' acquisition d ' informations personnelles propres a un 
utilisateur et en ce que lesdites informations personnelles 
sont comparees localement avec les informations memorises 
10 dans la carte a microcircuit (5) sans que lesdites 
informations personelles ne transitent par 1* equipement hote. 

2. Dispositif d'acces conditionnel selon la 
revendication 1, caracterise en ce que les moyens 

15 d 1 acquis! tion d 1 informations personnelles propres a un 
utilisateur sont constitues par un clavier pour la saisie 
d'un code d' identification alphanumerique ou une tablette 
munie d'une zone sensible pour la saisie d'une information 
personnelle manuscrite. 

20 

3. Dispositif d'acces conditionnel -selon la 
revendication 1 ou 2 , caracterise en ce que les moyens de 
saisie des informations personelles sont constitues par un 
capteur pour la saisie d'un signal d ' identification 

25 biometrique, tel qu'un capteur d' image d'empreintes digitales 
et/ou un capteur d' images de fond de l'oeil et/ou un capteur 
sonore associe a un moyen de reconnaissance vocale. 

4. Dispositif d'acces conditionnel selon 1 1 une 
30 quelconque des revendications pr£c6dentes, caracterise en ce 

qu'il comporte un clavier (6) pour la saisie des informations 
personelles et/ou un moyen d'affichage pour le contrdle de la 
transaction. 

35 5. Dispositif d'acces conditionnel selon 1 ' une 

quelconque des revendications precedentes, caracterise en ce 
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que les moyens de saisie des informations personelles sont 
constitues par un moyens propre a provoquer l'affichage sur 
1 ' ecran de 1 ' equipement hote d'un clavier virtuel comportant 
des representations graphiques dont la disposition varie 
5 aleatoirement a chaque activation desdits moyens, 
1 1 acquisition des informations personelles s'effectuant par 
pointage des representations graphiques et validation lors du 
positionnement du pointeur sur la representation graphique 
recherchee, le traitement des informations de pointage et de 
10 validation sur 1 ' ecran virtuel etant realise dans le 
dispositif d'acces conditionnel exclusivement . 

6. Dispositif d'acces conditionnel selon 1 ' une 
quelconque des revendications precedentes caracterise en ce 

15 que les moyens d ' acquisition des inf ormations personnelles 
sont constitues par un module d' acquisition et de 
numerisation de la voix de 1 ' utilisateur . 

7. Dispositif d'acces conditionnel selon 1 ' une 
20 quelconque des revendications precedentes, caracterise en ce 

qu'il comporte des moyens de synthese vocale et de 
reproduction sonore pour le controle de la transaction. 

8. Dispositif d'acces conditionnel selon 1 ' une 
25 quelconque des revendications precedentes, caracterise en ce 

que le moyen d ' acquisition des informations personnelles est 
constitue par une zone tactile de pointage (11) comportant 
une representation du clavier superposee a sa surface 
tactile. 

30 

9. Dispositif d'acces conditionnel selon 1 ' une 
quelconque des revendications precedentes caracterise en ce 
qu'il comporte une horloge a f onctionnement permanent et des 
moyens pour- transmettre a 1 ' equipement peripherique des 

35 donnees numeriques datees comportant une sequence de donnees 
relative a 1 ' autor isation calculee a partir des donnees 
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memorisees dans la carte a microcircuit (5) et des donnees 
saisies par 1 ' utilisateur et une sequence de donnees delivree 
par 1 'borloge. 

5 10. Dispositif d'acces conditionnel selon 1 ' une 

quelconque des revendications precedentes caracterise en ce 
qu'il comporte les moyens lui permettant d'executer en 
cooperation avec un equipement hote, sur les reseaux en- 
ligne, toutes ou partie des transactions securisees suivantes 

10 impliquant une carte porte-monnaie electronique ou une carte 
bancaire : a) payement , b) remboursement, c) annulation de 
1* operation, d) selection de devise, 

et/ou toutes ou partie des transactions securisees 
suivantes impliquant la carte porte-monnaie electronique y 

15 inseree : e) chargement d'une carte porte-monnaie 
electronique a partir d'un compte bancaire, f) transfer t de 
valeur d'une carte porte-monnaie electronique a un compte 
bancaire, g) transfert de valeur d'une carte porte-monnaie 
electronique a une autre carte porte-monnaie electronique, h) 

20 debiter la carte porte-monnaie electronique et crediter une 
carte bancaire . 

11. Dispositif d'acces conditionnel selon 1 * une 
quelconque des revendications precedentes caracterise en ce 

25 qu'il comporte les moyens lui permettant d'executer 
independamment et/ou en cooperation avec un equipement bote, 
toutes ou partie des operations suivantes impliquant la carte 
porte-monnaie electronique qui y est inseree : a) 
verification de la valeur actuelle ou la balance, b) lecture 

30 de la liste des transactions recentes ou journal, c) 
verrouillage de la carte porte-monnaie electronique, d) 
changement de code d' identification. 

- - -.. 12. Dispositif d'acces conditionnel selon- l'une- 

35 quelconque des revendications precedentes caracterise en ce 
qu'il comporte les moyens pour effectuer des transactions 
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entre les applications financieres residentes sur une meme 
carte a microcircuit . 

13. Dispositif d'acces condi tionnel selon 1 ' une 
5 guelconque des revendications precedentes caracterise en ce 

qu'il comporte les moyens comprenant une application porte- 
monnaie electronique et les moyens lui permettant d'executer 
toutes ou partie des operations suivantes entre cartes 
successivement inserees dans un meme connecteur : a) 

10 transfert de valeur d'une carte porte-mormaie electronique a 
une autre carte por te-monnaie electronique, b) transfert de 
valeur d'une carte porte-monnaie electronique a l'appareil 
meme, c) debiter ou crediter une carte porte-monnaie 
electronique et crediter ou debiter de la meme valeur une 

15 carte bancaire, d) annulation de 1* operation. 

14. Dispositif d'acces conditionnel selon l'une 
quelconque des revendications precedentes caracterise en ce 
que lesdits moyens comprenant 1 ' application porte-monnaie 

20 electronique sont compris dans une carte a microcircuit (5) 
amovible . 

15. Dispositif d'acces conditionnel selon l'une 
quelconque des revendications precedentes caracterise en ce 

25 qu'il comporte en outre une surface active de numerisation a 
stylet et/ou tactile, et un afficheur, la surface active et 
1' afficheur etant superposes. 

16. Procede de securisation de l'acces a un 
30 equipement hote, mettant en oeuvre un dispositif d'acces 

conditionnel conforme a l'une au moins des revendications 
precedentes caracterise en ce que certaines des fonctions au 
moins dudit equipement h6te ne sont accessibles qu'apres 
saisie par 1 ' ut ilisateur d'une information, . personnelle 
35 conforme a une information enregistree dans une carte a 
microcircuit et la verification de la conformite entre 
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1 1 information personneile et 1 ' information enregistree dans 
la carte a microcircuit est realisee dans un peripherique 
relie a 1 ' equipement hote sans que 1 ' information personneile 
ne transite par 1' equipement hote. 

5 

17. Procede de transactions inf ormat iques 
securisees comportant une etape de comparaison entre une 
information personneile de 1 ' utilisateur et des donnees 
contenues dans une carte a microcircuit, mettant en oeuvre un 
10 dispositif d'acces conditionnel conforme a l'une au moins des 
revendications precedentes, caracterise en ce que 1 ' etape de 
controle est effectuee dans ledit dispositif d'acces 
conditionnel formant une barriere a la fraude inf ormatique . 

15 18. Procede pour la gestion et 1' execution des 

applications de securite au sein d'un equipement electronique 
interactif munis d'un appareil peripherique, ledit equipement 
electronique comportant un ecran et des moyens permettant 
1' execution locale ou distante des logiciels applicatifs et 

20 ayant une interface utilisateur graphique comprenant des 
objets visuels sur lesquels un utilisateur agit manuellement 
par le biais dudit appareil peripherique 

caracterise en ce que ledit procede comprend un 
protocole de communication entre une partie au moins des 

25 logiciels applicatifs et des moyens securises de stockage, de 
gestion et d' execution d'une application de securite 
cooperant avec au moins un coupleur destine a recevoir 
notamment une carte a microcircuit (5) comportant une 
application de distribution des applications de securite, ce 

30 protocole etant une extension du protocole de communication 
specif ique aux moyens de pointage dudit appareil 
peripherique . 

19.. Procede. ,-selon 1.; une quelconque des 
35 revendications 16 a 18 , caracterise en ce que les 
informations et les commandes sont transmises dans le cadre 
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dudit protocole de communication sous la forme de trames 
comprenant un ensemble de champs constitue chacun d ' une 
sequence codee comportant un nombre predetermine de bits, 
chaque trame comprenant un champ d' identification (FID) et au 
5 moins un des champs suivants : 

- champ de 1 1 information de pointage, 
champ de 1 1 information relative aux moyens 

securises . 

20. Procede selon la revendication 19, caracterise 
en ce que le champ de 1 1 information relative aux moyens 
securises comporte tous ou une part des champs suivants dans 
1 ' ordre de citation : 

- champ de control e (OPC) , 
champ donnant la longueur du message 

d ' application de securite (DLEN) , 

- champ qui comprend tout ou une part du message 
d ' application de securite proprement dit (CLG) ou (RPL) , 

- champ de controle de l'integrite dudit message 

(CRC) . 

21. Procede selon la revendication 20, caracterise 
en ce que le champ de controle (OPC) comprend au moins les 
informations suivantes : 

25 - le code (OPC.C) de 1' operation concernant une ou 

plusieurs applications de securite, 

- l'adresse de 1 * application de securite concernee 
par la trame (OPC. A) , 

le nombre (OPC.S) d' octets du champ de 
30 1 ' information relative a une application de securite transmis 
par trame etendue, ce nombre (OPC.S) etant au moins egal a la 
longueur du champ (OPC) . 

. . 22..- Precede ..selon les revendicat ions .16 a 21 

35 caracterise en ce que 1 ' application de distribution des 
applications de securite (30) comporte un compteur de 
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licences (LCNT) pour le controle des transferts multiples 
d'une meme application de securite dans la limite d'un nombre 
predefini d ' installations ou licences. 



5 23 . Procede selon les revendications 18 et 22 

caracterise en ce que 1 1 operation de transfert d ' application 
de securite entre des moyens securises locaux ou distants 
comporte toutes ou une part des etapes suivantes : 

- identification de l'initiateur du transfert, 

10 - authentif ication reciproque des moyens securises 

participants , 

- copie securisee du code de 1 ■ application sur les 
moyens de destination, 

- validation de la copie, 

15 - invalidation de 1 ' application de securite dans 

les moyens source. 

24. Procede selon la revendication 23 caracterise 
en ce que l'etape d ' identification de l'initiateur du 

20 transfert consiste en ce qu'une application de securite 
installee dans un desdits moyens securises de stockage, 
gestion et execution des applications de securite (27) ou 
1 ' application de distribution des applications de securite 
(30), identifie l'initiateur du transfert par un code 

25 personnel saisi exclusivement avec les moyens dudit 
peripherique et sans que ce code transite par ledit 
equipement electronique interactif. 

25. Procede selon la revendication 24 caracterise 
30 en ce que l'etape d ' invalidation de 1 ■ application de securite 

dans les moyens source consiste dans l'effacement de son code 
et la liberation de ses ressources a 1 ' exception de 
1 ' application de distribution des applications de securite 
..(30) _ dont. seul le compteur de transferts (LCNT). est 
35 decrements d'une unite. 
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26. Procede selon l'une quelconque des 
revendications 16 a 25 caracterise en ce que le driver du 
dispositif peripherique, fournit 1 * information de pointage a 
un logiciel applicatif et en meme temps assure la 

5 transmission des messages vers le meme ou un autre logiciel 
applicatif simultanement actif et son application de 
securite . 

27. Procede de securisation de l'acces a un 
10 equipement hote selon l'une quelconque des revendications 16 

a 2 6 caracterise en ce que 1 1 equipement hote transmet au 
dispositif d'acces conditionnel des informations relatives a 
la transaction en cours, que ces informations sont traduites 
par synthese vocale, et que la validation de la transaction 
15 soit realisee par la prononciation orale d'un mot ou d'une 
locution predetermines par le titulaire de la carte a 
microcircuit introduite dans le dispositif. 
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